Doplňte si své mobilní aplikace o zabezpečení i bez změny kódu

19. 4. 2012

Sdílet

 Autor: Scanrail - Fotolia.com
Na trhu se objevil produkt, který zabezpečuje nové i již hotové aplikace bez nutnosti předělání programového kódu.

Jde o řešení Mocana Mobile App Protection (MAP) 2.0, které automaticky podnikové mobilní aplikace a IT pracovníkům dovoluje zvolit si až čtyři klíčové bezpečnostní pravidla, která do svých produktů mohou zahrnout.

Jsou to: automatické šifrování dat, autentizace založená na heslech, chráněná funkce cut-copy-paste, jíž lze zabránit tomu, aby byla citlivá data převáděna mimo příslušný mobilní program, a konečně VPN tunel vztažený k odpovídající aplikaci.

„Kombinace našich čtyř bezpečnostních funkcí nabízí toto: Chrání data přímo v mobilním zařízení, zabezpečují je při přenosu mezi vlastním přístrojem a podnikovou infrastrukturou, omezují přístup k informacím pouze na autorizované uživatele a konečně  zablokují nežádoucí přesun údajů do nezabezpečených dokumentů, úložišť, e-mailů si relací instant messagingu,“ říká Adrian Turner, výkonný ředitel společnosti Mocana.

Princip jejich řešení spočívá v tom, že server Mocana server dekompiluje binární obraz odpovídající firemní mobilní aplikace a zkoumá jeho strukturu včetně informačních toků a I/O podoby.

Firma se podle jejího šéfa zaměřila především na takové aplikace pro platformy iOS a Android, které si vytváří samy organizace.  Prostřednictvím webového portálu si IT manažeři mohou vybrat, které bezpečnostní funkce by chtěli ke své již hotové aplikaci přiřadit – a server Mocana automaticky vygeneruje příslušný kód a sám jej bez zásahu původního vlastníka vloží do inkriminované aplikace.

„Máme vlastní patentově chráněné způsoby pro analýzu mobilních aplikací,“ tvrdí Turner. "Můžeme pomocí nich zjistit například způsob interakce aplikace se sítí abstrahované od její byznys logiky.  Pak můžeme vložit náš odpovídající zabezpečovací kód do správného místa, aniž by to mělo na chod tohoto programu nějaký vliv.“

Třeba pro šifrování Mocana využívá řešení certifikované na FIPS 140-2 a algoritmy Suite B; její PKI infrastruktura je kombinací standardních i proprietárních prvků optimalizovaných pro mobilní nasazení. VPN klienty lze zase kombinovat s různými backendovými protějšky.

To vše dramaticky zjednodušuje ochranu a vývoj firemních mobilních aplikací. Dosud například museli vývojáři využívat sadu různých rozhraní API a pro každou aplikaci, kterou vyvinuli, museli ověřovat, zda je správně chráněna. Jinou alternativou jsou tzv. sandboxy, ale ty prý nepřinášejí takový stupeň kontroly.

Třetím alternativním způsobem je pak vytvoření virtuálního stroje, spuštění separátního OS a v něm pak samostatně podnikové aplikace. „Tím, že firemní software na mobilu umístíte do jiné instance operačního systému, je ale lépe nezabezpečíte,“ tvrdí Turner.

Mocana už spolupracuje s různými dodavateli správního softwaru  typu mobile device management (MDM). IT administrátoři tak mohou vytvářet pravidla pomocí softwaru Mocana prostřednictvím konzole MDM.

Server Mocana do těchto aplikací přidá požadované bezpečnostní funkce a dovolí je umístit na korporátní app store zahrnující schválené programy. Vzniknout tak mohu i různé verze stejného softwaru, který má však odlišné zabezpečovací prvky – v závislosti například na typu uživatele a jeho funkcích.

ICTS24

V současnosti je Mocana 2.0 dostupná prostřednictvím pilotního programu, všeobecná dostupnost se očekává začátkem června. Například MDM dodavatelé předpokládají cenu postavenou na ročním předplatném.

MAP ve verzi 1.0 z listopadu loňského roku byl dostupný pouze pro platformu Android, varianta 2.0 jej rozšiřuje i do prostředí iOS.